عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج SnappyClient الخبيث

برنامج SnappyClient الخبيث

بواسطة Mezo في البرمجيات الخبيثة, أدوات الإدارة عن بعد
ترجمة الى:

SnappyClient هو برنامج خبيث متطور للغاية مكتوب بلغة C++ ويتم توزيعه عبر أداة تحميل تُعرف باسم HijackLoader. يعمل هذا البرنامج كحصان طروادة للتحكم عن بُعد (RAT)، مما يُمكّن مجرمي الإنترنت من السيطرة على الأنظمة المخترقة واستخراج البيانات الحساسة. بمجرد دخوله إلى الجهاز، يتصل البرنامج الخبيث بخادم تحكم (C2) لتلقي التعليمات وتنفيذ عمليات خبيثة.

أساليب التهرب والتلاعب بالأنظمة

للبقاء متخفيًا، يتداخل برنامج SnappyClient مع آليات الأمان المدمجة في نظام ويندوز. وتتمثل إحدى حيله الرئيسية في التلاعب بواجهة فحص مكافحة البرامج الضارة (AMSI)، المسؤولة عن فحص البرامج النصية والتعليمات البرمجية بحثًا عن السلوكيات الخبيثة. فبدلًا من السماح لـ AMSI بالإبلاغ عن التهديدات، يتلاعب البرنامج الضار بمخرجاته بحيث تبدو الأنشطة الضارة آمنة.

يعتمد البرنامج الخبيث أيضًا على قائمة إعدادات داخلية تُحدد سلوكه. تُحدد هذه الإعدادات البيانات التي يتم جمعها، ومكان تخزينها، وكيفية الحفاظ على استمراريتها، وما إذا كان التنفيذ يستمر في ظل ظروف معينة. يضمن هذا التكوين بقاء البرنامج الخبيث نشطًا حتى بعد إعادة تشغيل النظام.

بالإضافة إلى ذلك، يسترجع برنامج SnappyClient ملفين مشفرين من خوادم يتحكم بها المهاجم. تُخزن هذه الملفات بتنسيق مخفي وتُستخدم للتحكم ديناميكيًا في وظائف البرمجية الخبيثة على النظام المصاب.

قدرات تحكم واسعة النطاق في النظام

يمنح برنامج SnappyClient المهاجمين تحكمًا دقيقًا في الأجهزة المخترقة. فهو قادر على التقاط لقطات شاشة وإرسالها إلى مشغلين عن بُعد، مما يوفر رؤية مباشرة لنشاط المستخدم. كما يُمكّن البرنامج الخبيث من إدارة العمليات بشكل كامل، ما يسمح للمهاجمين بمراقبة العمليات الجارية وإيقافها مؤقتًا واستئنافها أو إنهائها. علاوة على ذلك، يدعم البرنامج حقن التعليمات البرمجية في العمليات المشروعة، مما يُساعده على العمل سرًا داخل النظام.

يُعدّ التلاعب بنظام الملفات قدرة أساسية أخرى. إذ يمكن للبرمجيات الخبيثة تصفح الدلائل، وإنشاء الملفات والمجلدات أو حذفها، وإجراء عمليات مثل النسخ والنقل وإعادة التسمية والضغط واستخراج الأرشيفات، حتى تلك المحمية بكلمات مرور. كما يمكنها تشغيل الملفات وتحليل الاختصارات.

وظائف سرقة البيانات والمراقبة

يتمثل أحد الأهداف الرئيسية لبرنامج SnappyClient في تسريب البيانات. فهو يتضمن برنامجًا مدمجًا لتسجيل ضغطات المفاتيح وإرسال البيانات الملتقطة إلى المهاجمين. علاوة على ذلك، يستخرج البرنامج مجموعة واسعة من المعلومات الحساسة من المتصفحات والتطبيقات الأخرى، بما في ذلك بيانات تسجيل الدخول، وملفات تعريف الارتباط، وسجل التصفح، والإشارات المرجعية، وبيانات الجلسة، والمعلومات المتعلقة بالإضافات.

يمكن للبرمجية الخبيثة أيضاً البحث عن ملفات أو مجلدات محددة وسرقتها بناءً على معايير يحددها المهاجم، مثل أسماء الملفات أو مساراتها. إضافةً إلى استخراج البيانات، فهي قادرة على تنزيل الملفات من خوادم بعيدة وتخزينها محلياً على الجهاز المصاب.

ميزات التنفيذ والاستغلال المتقدمة

يدعم SnappyClient طرقًا متعددة لتنفيذ البرامج الضارة. فهو قادر على تشغيل الملفات التنفيذية العادية، وتحميل مكتبات الارتباط الديناميكي (DLLs)، أو استخراج المحتوى من الملفات المؤرشفة وتنفيذه. كما يسمح للمهاجمين بتحديد معايير التنفيذ، مثل مجلدات العمل ومعاملات سطر الأوامر. وفي بعض الحالات، يحاول تجاوز نظام التحكم في حساب المستخدم (UAC) للحصول على صلاحيات إضافية.

تشمل الميزات البارزة الأخرى القدرة على تشغيل جلسات تصفح مخفية، مما يُمكّن المهاجمين من مراقبة نشاط الويب والتلاعب به دون علم المستخدم. كما يوفر واجهة سطر أوامر لتنفيذ أوامر النظام عن بُعد. ويُعدّ التلاعب بالحافظة وظيفة خطيرة أخرى، تُستخدم غالبًا لاستبدال عناوين محافظ العملات المشفرة بعناوين يتحكم بها المهاجمون.

التطبيقات المستهدفة ومصادر البيانات

تم تصميم SnappyClient لاستخراج المعلومات من مجموعة واسعة من التطبيقات، وخاصة متصفحات الويب وأدوات العملات المشفرة.

تشمل متصفحات الويب المستهدفة ما يلي:

متصفح 360، وBrave، وChrome، وCocCoc، وEdge، وFirefox، وOpera، وSlimjet، وVivaldi، وWaterfox

تشمل محافظ وأدوات العملات المشفرة المستهدفة ما يلي:

كوين بيس، ميتا ماسك، فانتوم، ترون لينك، تراست واليت
أتوميك، بيتكوين كور، كوينومي، إلكتروم، إكسودوس، ليدجر لايف، تريزور سويت، وواسابي

يؤدي هذا الاستهداف الواسع النطاق إلى زيادة كبيرة في احتمالية السرقة المالية واختراق بيانات الاعتماد.

أساليب التوزيع الخادعة

ينتشر برنامج SnappyClient بشكل أساسي عبر أساليب توزيع خادعة مصممة لخداع المستخدمين وحملهم على تشغيل ملفات خبيثة. إحدى الطرق الشائعة هي استخدام مواقع ويب مزيفة تنتحل صفة شركات اتصالات شرعية. عند زيارة هذه المواقع، يتم تنزيل برنامج HijackLoader خلسةً على جهاز الضحية. وفي حال تشغيله، يقوم هذا البرنامج بتثبيت برنامج SnappyClient.

تعتمد إحدى التكتيكات الأخرى على منصات التواصل الاجتماعي مثل تويتر. ينشر المهاجمون روابط أو تعليمات لجذب المستخدمين لبدء التنزيلات، مستخدمين أحيانًا تقنيات مثل ClickFix. تؤدي هذه الإجراءات في النهاية إلى تشغيل برنامج HijackLoader وتثبيت البرامج الضارة.

مخاطر العدوى وتأثيرها

يمثل برنامج SnappyClient تهديدًا خطيرًا للأمن السيبراني نظرًا لقدرته على التخفي والتنوع والإمكانيات الواسعة. فبمجرد تثبيته، يُمكّن المهاجمين من مراقبة نشاط المستخدمين، وسرقة المعلومات الحساسة، والتلاعب بعمليات النظام، وتنفيذ برامج ضارة إضافية.

يمكن أن تكون عواقب هذه الإصابات وخيمة، بما في ذلك اختطاف الحسابات، وسرقة الهوية، والخسائر المالية، والمزيد من الإصابات بالبرامج الضارة، واختراق النظام على المدى الطويل.

الشائع

عملية احتيال على ديسكورد باسم مستر بيست

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يتطلب الحفاظ على الأمان على الإنترنت وعيًا دائمًا وقدرًا معقولًا من الشك. يستغل مجرمو الإنترنت بشكل متزايد الاتجاهات الشائعة والشخصيات الموثوقة لخداع المستخدمين، وتنتشر عمليات الاحتيال المرتبطة بالمؤثرين المعروفين. تُعدّ عملية الاحتيال باسم "مستر بيست" على منصة ديسكورد مثالًا واضحًا على كيفية تلاعب المهاجمين بالثقة والفضول لاختراق الحسابات وسرقة البيانات ونشر محتوى ضار. الخدعة وراء عملية...

رسالة بريد إلكتروني احتيالية: تم تعطيل خدمة السحابة...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يجب التعامل بحذر مع رسائل البريد الإلكتروني غير المتوقعة، وخاصة تلك التي تُثير القلق أو الاستعجال. فكثيراً ما يُخفي مجرمو الإنترنت رسائلهم الاحتيالية تحت ستار إشعارات رسمية لخداع المتلقين ودفعهم إلى اتخاذ إجراءات ضارة. ومن المهم التأكيد على أن عمليات الاحتيال، مثل رسائل "تم تعطيل حسابك السحابي"، لا علاقة لها بأي شركات أو مؤسسات أو مزودي خدمات شرعيين. ما هي عملية الاحتيال "تم تعطيل حسابك...

الأكثر مشاهدة

جار التحميل...